SCCM 2012: Windows 7-Domänenbeitritt mit automatischer Zuordnung der Organisationseinheit funktioniert nicht

Während der Betriebssystemverteilung mit SCCM 2012 kann in der Tasksequenz angegeben werden, in welche Domäne der Computer aufgenommen werden soll. Gleichzeitig kann die Organisationseinheit (OU) definiert werden, in dem der Computer im Active Directory landen soll. Im Zusammenspiel mit dem aktuellen Configuration Manager 2012 und einer Windows 2000-Domänenfunktionebene kommt es hier allerdings zu Problemen. Der Domänenbeitritt schlägt (zunächst) ohne ersichtlichen Grund fehl, obwohl der Configuration Manager 2012 keinerlei Fehlermeldungen ausgibt (Abbildung 1)

domain_win2000_2

Abbildung 1

Erst nach mehrstündigem Troubleshooting konnte ich das Problem identifizieren.

Wenn der Configuration Manager versucht den Computer in die Domäne zu hieven, verwendet der Computer eine verschlüsselte Sitzung des Lightweight Directory Access Protocol (LDAP), um das Kennwort des Computerkontos zu übertragen. Diese Verschlüsselungsmethode wird erst ab Windows Server 2003 untersützt. Die Kundenumgebung besaß jedoch eine Windows 2000-Domänenfunktionebene. Microsoft dokumentiert dieses Problem im KB979645.

Der fehlgeschlagene Versuch der Domäne beizutreten wird in der netsetup.log auf dem Zielsystem protokolliert. Die netsetup.log liegt unter %SystemRoot%\debug\.

domain_win2000

Abbildung 2: Domänenfunktionebene-Abfrage über gpresult /R

Um das Problem zu umgehen, kann das Feld „Domänen-OE“ in der Tasksequenz einfach freigelassen werden. Der „einfache“ Domänenbeitritt ohne einer automatischen Zuordnung in eine Organisationseinheit funktioniert problemlos.

domain_win2000_3

Microsoft hat das Problem mit einem Hotfix (KB979645) behoben. Das Hotfix ist außerdem Bestandteil von Windows 7 Service Pack 1.

Über André Picker

Kind der 90er. Aufgewachsen im Ruhrgebiet. Anhänger des schwarz-gelben Fußballs. System Center Configuration Manager-Experte, IT-Geek. Optimist. Microsoft MVP für Enterprise Mobility. Weitere Informationen gibt es hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.